Selon une analyse menée par des chercheurs, des centaines d’applications installées sur des appareils Android ont eu accès à des données personnelles enregistrées par des API (Application Programming Interface) de Google et Apple. Ces applications mobiles, pour fournir les services pour lesquels elles ont été conçues, peuvent collecter des données personnelles de leurs utilisateurs.

En clair, une donnée personnelle, c’est une information se rapportant à une personne physique identifiée ou identifiable.

Google et Apple ont conçu un ENS l’année dernière. L’API développée par Apple et Google permet aux gouvernements de créer des applications décentralisées de recherche de contacts qui reposent sur le bluetooth. « Elles reçoivent les informations médicales et autres informations personnelles des utilisateurs à la suite de la mise en place du système Google », explique Joel Reardon, cofondateur d’AppCensus, dans un communiqué.

Les appareils équipés de l’application émettent des identifiants anonymes qui changent périodiquement. Ils sont appelés identifiants de proximité roulants , qui sont diffusés par bluetooth afin d’être « entendus » par les smartphones qui utilisent également l’application.

Sur chaque appareil, une comparaison est établie entre la liste des RPI des personnes infectées et ceux enregistrés par l’application. De nombreux utilisateurs ont désormais téléchargé des applications de recherche de contacts créées grâce à l’ENS d’Apple et de Google.

Au Royaume-Uni, l’application NHS COVID-19 a été téléchargée plus de 21 millions de fois. L’application allemande CoronaWarn est utilisée par plus de 25 millions de personnes. En France, sur ces cinq mois d’activité, l’application StopCovid a été téléchargée 2,5 millions de fois.

Contrairement aux applications allemandes et britanniques, ces applications utilisées en France, n’utilisent pas l’ENS de Google et Apple.
Reardon et son équipe ont découvert que les RPI diffusés et ceux qui sont entendus peuvent être trouvés dans le système des smartphones Android. « Il est troublant que ces informations aient été stockées dans le journal du système. » « L’ensemble du système de contact tracing est censé préserver la vie privée et éviter exactement ce type de fuite d’informations », explique Gaetan Leurent. Reardon souligne que le problème n’était pas un défaut essentiel au suivi des contacts, mais plutôt une erreur de mise en œuvre du système.

Au bout de 60 jours, les analystes ont décidé de suivre les propres recommandations de Google sur les bug bounties et de rendre leur analyse publique. « Nous avons été informés d’un problème où les identifiants Bluetooth étaient temporairement accessibles sur certaines applications pré-installées.

Après avoir été mis au courant, nous avons entamé le processus nécessaire pour examiner le problème, envisager des mesures d’atténuation et finalement mettre à jour le code » : a indiqué un porte-parole de Google.

« Ces identifiants bluetooth ne révèlent pas l’emplacement d’un utilisateur ou ne fournissent aucune autre information d’identification et nous n’avons aucune indication sur cette situation – ni même si une application était au courant. » Selon Google, le déploiement de la mise à jour sur les appareils Android a commencé il y a plusieurs semaines et sera terminé dans les prochains jours.

Pour Gaetan Leurent, qui a mené des recherches approfondies sur les problèmes de confidentialité liés aux applications de contact tracing, cette affaire s’inscrit dans un débat plus large sur les avantages et les risques de cette technologie.

« Pour les applications de recherche des contacts, nous n’avons jamais vraiment eu de débat sur le sujet». « Ces applications sont utilisées depuis un an maintenant et nous avons encore très peu d’informations sur leur fonctionnement. » .

Des critiques, quant à elles, ont fait valoir à plusieurs reprises que les applications de contact tracing manquent de précision et ne présentent pas d’avantages pertinents tant qu’elles ne sont pas adoptées par une grande majorité de la population.